EP0676073A1 - System zur echtheitsprüfung eines datenträgers. - Google Patents

System zur echtheitsprüfung eines datenträgers.

Info

Publication number
EP0676073A1
EP0676073A1 EP94903866A EP94903866A EP0676073A1 EP 0676073 A1 EP0676073 A1 EP 0676073A1 EP 94903866 A EP94903866 A EP 94903866A EP 94903866 A EP94903866 A EP 94903866A EP 0676073 A1 EP0676073 A1 EP 0676073A1
Authority
EP
European Patent Office
Prior art keywords
data carrier
physical property
integrated circuit
circuit
fuse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP94903866A
Other languages
English (en)
French (fr)
Other versions
EP0676073B2 (de
EP0676073B1 (de
Inventor
Michael Lamla
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GAO Gesellschaft fuer Automation und Organisation mbH
Original Assignee
GAO Gesellschaft fuer Automation und Organisation mbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=6476429&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=EP0676073(A1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by GAO Gesellschaft fuer Automation und Organisation mbH filed Critical GAO Gesellschaft fuer Automation und Organisation mbH
Publication of EP0676073A1 publication Critical patent/EP0676073A1/de
Application granted granted Critical
Publication of EP0676073B1 publication Critical patent/EP0676073B1/de
Publication of EP0676073B2 publication Critical patent/EP0676073B2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/08Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means
    • G06K19/10Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code using markings of different kinds or more than one marking of the same kind in the same record carrier, e.g. one marking being sensed by optical and the other by magnetic means at least one kind of marking being used for authentication, e.g. of credit or identity cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/57Protection from inspection, reverse engineering or tampering
    • H01L23/576Protection from inspection, reverse engineering or tampering using active circuits
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2223/00Details relating to semiconductor or other solid state devices covered by the group H01L23/00
    • H01L2223/544Marks applied to semiconductor devices or parts
    • H01L2223/54433Marks applied to semiconductor devices or parts containing identification or tracking information
    • H01L2223/5444Marks applied to semiconductor devices or parts containing identification or tracking information for electrical read out
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/0001Technical content checked by a classifier
    • H01L2924/0002Not covered by any one of groups H01L24/00, H01L24/00 and H01L2224/00

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Power Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Testing Of Short-Circuits, Discontinuities, Leakage, Or Incorrect Line Connections (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Inspection Of Paper Currency And Valuable Securities (AREA)
  • Tests Of Electronic Circuits (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Credit Cards Or The Like (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Investigating Or Analysing Biological Materials (AREA)
  • Near-Field Transmission Systems (AREA)

Description

System zur Echtheitsprüfun eines Datenträgers
Die Erfindung betrifft ein System zur Prüfung der Echt¬ heit eines Datenträgers gemäß dem Oberbegriff des Anspruchs 1.
Ein System dieser Art ist z. B. aus der EP-AI 0 313 967 bekannt. Aus dieser Druckschrift ist es bekannt, bei der Chipherstellung gezielt Einfluß auf die physikalische Feinstruktur des IC zu nehmen und somit bestimmte Strukturen auf bzw. in den integrierten Schaltkreis einzubringen, die als den Schaltkreis kenn- zeichnende physikalische Eigenschaft auswertbar sind. In diesem Zusammenhang wird in dieser Druckschrift vorge¬ schlagen, den Chip mit einer metallischen Beschichtung mit einer wirren Flächenstruktur zu versehen, die über eine Widerstandsmessung an mehreren Orten abtastbar ist, wobei das dabei erhaltene Widerstandsprofil in Form von
Kenndaten zur Echtheitsbestimmung des Datenträgers abge¬ speichert wird. Ein externer Zugriff auf den Kenndaten¬ speicher ist nach dem Zünden einer Sicherung, z. B. nach der Initialisierungsphase, nicht mehr möglich.
Das o.g. System hat jedoch den Nachteil, daß das Wider¬ standsprofil nicht nur meßtechnisch aufwendig und schwierig ermittelbar, sondern unter Umständen nicht immer eindeutig ist, woduxclr die Zuverlässigkeit des Prüfverfahrens beeinträchtigt ist. Weiterhin können mit dem bekannten Verfahren keine fehlerhaften Zündvorgänge, bei denen die Sicherung nicht ordnungsgemäß vom elek¬ trisch leitenden in den nichtleitenden Zustand gebracht wurde oder eine nachträgliche Manipulation an einer ordnungsgemäß gezündeten Sicherung festgestellt werden, wodurch in beiden Fällen ein unerlaubter Zugriff auf den Kenndatenspeicher möglich wäre. Die Aufgabe der Erfindung besteht nun darin, ein Ver¬ fahren zur Echtheitsprüfung von Datenträgern vorzu¬ schlagen, das eine zuverlässigere Echtheitsbestimmung und einen besseren Schutz sensitiver Bereiche des Daten¬ trägers ermöglicht, wobei die durch den integrierten Schaltkreis bestimmte physikalische Eigenschaft mit geringem Aufwand meßtechnisch erfaßbar sein soll.
Die Aufgabe wird erfindungsgemäß durch die im kennzeich¬ nenden Teil des Anspruchs 1 angegebenen Merkmale gelöst.
Die Erfindung zeichnet sich dadurch aus, daß auf dem integrierten Schaltkreis des Datenträgers eine separate Schaltung vorgesehen ist, welche vom Halbleiterher¬ steller durch eine geringfügige Designänderung des inte¬ grierten Schaltkreises realisiert wird. Die Schaltung weist einen den Schaltkreis kennzeichnenden irreversibel eingestellten elektrischen Zustand auf, der zur Erstellung eines Kenndatenwertes für den Datenträger verwendet und zur Echtheitsbestimmung ausgewertet wird.
In einer ersten Ausfuhrungsform umfaßt die Schaltung des integrierten Schaltkreises wenigstens ein aus passiven Bauelementen bestehendes Netzwerk und kann zusätzlich eine Steuerlogik zur Ansteuerung von Schaltelementen enthalten» In einem bevorzugte .Ausführungsbeispiel ist dieses Netzwerk als Widerstandsreihe zwischen einem äußeren freien Kontaktanschluß, der als Meßanschluß dient, und dem Masseanschluß des Datenträgers ausge¬ führt. Zur Codierung dieser Widerstandsreihe, die aus binominal aufgebauten Widerständen bestehen kann, sind zu den in Reihe geschalteten Widerständen jeweils paral¬ lel Sicherungen geschaltet, die entsprechend der gewünschten Codierung durchgebrannt werden. Das Druch- brennen der Sicherungen ist hierbei nur im Testmodus, d. h. nachdem der Chip getestet und für gut befunden wurde, möglich. Beim Durchbrennen der Sicherungen wird ein entsprechend hoher Strom an den freien äußeren Me߬ anschluß gegen Masse getrieben, wobei die Steuerlogik gewährleistet, daß nur die Sicherungen durchgebrannt werden, bei denen die dazu parallel geschalteten Schal¬ ter entsprechend der gewünschten Codierung geöffnet sind. Nach Codierung der Widerstandsreihe kann eine zwischen der Steuerlogik und den Schaltelementen befind- liehe, ohne spezielle Hilfsmittel nicht erkennbare,
Sicherung durchgebrannt werden, um zu verhindern, daß die Steuerlogik nochmals im Testmodus betrieben werden kann. Somit ist gewährleistet, daß die Codierung des Netzwerkes nur innerhalb des Testmodus vom Halb- leiterhersteller realisiert werden kann. Die Codierung kann beispielsweise eine fortlaufende Nummer ergeben, d. h. eine für den integrierten Schaltkreis individuelle Kennung oder aber auch ein Klassenmerkmal für den inte¬ grierten Schaltkreis darstellen. Selbstverständlich erkennt der Fachmann, daß die Erfindung nicht auf die Realisierung einer Widerstandsreihe beschränkt ist, sondern vielmehr auch andere passive Bauelemente, wie beispielsweise Kondensatoren oder Induktivitäten, für das die Schaltung kennzeichnende Netzwerk verwendet werden können.
Alternativ kann anstelle einer zusätzlichen Steuerlogik für die Schaltelemente auch für jeden Widerstand mit jeweils parallel geschalteter Sicherung ein Testanschluß (test pad) vorgesehen werden. Diese stehen beispielsweise nach der Produktion und während des Wafertests zur Verfügung. Nachdem der Chip getestet und für gut befunden wurde, treibt der Halbleiterhersteller einen hohen Strom auf die Testanschlüsse und zwar so, daß die Kombination der durchgebrannten Sicherungen die gewünschte Codierung der Widers andsreihe ergeben. Die Umschaltung von der Test- in die Benutzerbetriebsart kann durch Zünden einer Sicherung und/oder durch Programmierung von EEPROM- oder EPROM-Zellen erfolgen und ist irreversibel.
Bei der ersten Ausfuhrungsform kann die Echtheitsprüfung dadurch erfolgen, daß die physikalische Eigenschaft des Netzwerkes, beispielsweise der Gesamtwiderstandswert einer binominal codierten Widerstandsreihe, von einem externen Gerät gemessen und anschließend digitalisiert wird, um den Digitalwert mit Hilfe eines im Gerät gespeicherten geheimen Schlüssels zu verschlüsseln. Dieser vom Gerät verschlüsselte mit der physikalischen Eigenschaft des Netzwerkes in Verbindung stehende Digi- talwert wird mit einem von dem Datenträger empfangenen Kenndatenwert verglichen. Der in einem Speicherbereich des Datenträgers enthaltene Kenndatenwert gibt ebenfalls die physikalische Eigenschaft des Netzwerkes in ver¬ schlüsselter Form wieder.
Dieser Kenndatenwert kann z. B. bei der Personalisierung des Datenträgers in einen Speicher des Datenträgers eingeschrieben werden. Das Einschreiben des Kenndaten¬ wertes und auch anderer persönlicher sensitiver Daten erfolgt bei der Personalisierung in einer gesicherten Umgebung, womit gewährleistet ist, daß nur eine dazu autorisierte Person befugt istr die Personalisierung der Datenträger vorzunehmen. Dies kann beispielsweise in einfacher Weise dadurch erreicht werden, daß die Bedie- nungsperson sich gegenüber dem Gerät durch Eingabe eines Geheimcodes ausweisen muß. Das Personalisierungsgerät verifiziert vor. Inbetriebnahme, ob der eingegebene Code mit dem im Gerät gespeicherten übereinstimmt. Um die Personalisierungsdaten, wie z. B. Transaktionslimit, PIN etc., gegen Duplizierung zu schützen, können diese Daten bei der Personalisierung des Datenträgers mit der ge es- senen physikalischen Eigenschaft des Netzwerkes logisch verknüpft werden und das Ergebnis der logischen Ver¬ knüpfung kann in den Speicher des Datenträgers von dem Personalisierungsgerät eingeschrieben werden.
In einer Weiterbildung der Erfindung kann auch ein Schaltelement vorgesehen werden, welches unter Steuerung einer Logikeinheit des Datenträgers die physikalische Eigenschaft des Netzwerkes zu einem vorgegebenen Zeit- punkt und für eine vorgegebene Dauer zur externen Mes¬ sung freigibt. Dies hat den Vorteil, daß die als separa¬ tes Netzwerk ausgeführte Echtheitsstruktur des inte¬ grierten Schaltkreises nur für eine bestimmte Zeitdauer für eine externe Messung zur Verfügung steht und außer- halb dieser Zeitdauer die Echtheitsstruktur von außen nicht feststellbar und somit verborgen ist. Beispiels¬ weise gibt die Logikeinheit des Datenträgers die physi¬ kalische Eigenschaft des Netzwerkes zur Messung mit dem Empfang eines "Reset"-Signals bis zum Zeitpunkt des von der Karte gesendeten "Answer to Reset" (ATR) frei. Nur innerhalb diesem systemspezifischen Zeitfenster ist die physikalische Eigenschaft des Netzwerkes feststellbar. Selbstverständlich kann der Datenträger vor der Freigabe der physikalischen Eigenschaft des Netzwerkes die Authentizität des mit dem Datenträger in Verbindung stehenden Gerätes prüfen, um sicherzustellen, daß die physikalische Eigenschaft des Netzwerkes nur gegenüber einem echten, d. h. zur Messung, autorisierten Gerät freigegeben wird. Desweiteren kann das Gerät mit Hilfe einer Zeitmeßeinrichtung verifizieren, ob die Zeitdauer, für die die physikalische Eigenschaft des Netzwerkes von der Logikeinheit des Datenträgers zur Messung freigege¬ ben ist, innerhalb eines systemspezifischen Zeitfensters liegt. Selbstverständlich muß die Wahl eines solchen Zeitfensters immer auch in Abhängigkeit eines zwischen den Kommunikationsteilnehmern vereinbarten Datenaus- tauschprotokolles erfolgen. Die jeweilige Adaptierung des Zeitfensters an das anwendungsspezifische Datenaus¬ tauschprotokoll obliegt dem Wissen und Können eines Fachmanns und wird hier nicht näher beschrieben.
In einer zweiten Ausfuhrungsform umfaßt die Schaltung wenigstens eine Sicherung, deren elektrischer Zustand nach dem Zündvorgang intern im Datenträger überprüft und in Form eines Kenndatenwertes in einem Speicherbereich des Datenträgers gespeichert wird. Der Kenndatenwert kann zur Echtheitsprüfung zur Vorrichtung, die mit dem Datenträger kommuniziert, übertragen oder aber im Bedarfsfall zum Sperren des Datenträgers intern verar¬ beitet werden. Die Übertragung der Daten an die Vorrich- tung wird so vorgenommen, daß kein Rückschluß auf den tatsächlichen elektrischen Zustand der Sicherung möglich ist.
Vorzugsweise erfolgt die Überprüfung der elektrischen Eigenschaft der Sicherung bei jeder Inbetriebnahme des Datenträgers mit einem zur Inbetriebnahme des inte¬ grierten Schaltkreises ohnehin notwendigen Signal. Dadurch können fehlerhafte Zündvorgänge, bei denen die Sicherung nicht ordnungsgemäß von dem elektrisch leiten- den in den elektrisch nichtleitenden Zustand gebracht wurde, mit geringem technischen Aufwand festgestellt werden. Weiterhin ermöglicht die Erfindung auch di Feststellung späterer Manipulationen an einer ordnungsgemäß gezündeten Sicherung, z. B. Überbrückung der Sicherung mittels Mikrosonden, wobei bei einem fehlerhaften Zündvorgang oder bei einer festgestellten Manipulation der Betrieb des integrierten Schaltkreises intern blockiert wird. Dadurch ist der Datenträger für den Betrüger bei jeder weiteren Verwendung nutzlos. Die Erfindung erlaubt somit einen wirksamen Schutz gegen unerlaubte Manipulationen eines Echtheitsmerkmals eines Datenträgers, wodurch eine zuverlässigere Echtheits- bestimmung des Datenträgers möglich ist.
Weitere Vorteile und vorteilhafte Weiterbildungen sind der Beschreibung der Erfindung anhand der Figuren ent¬ nehmbar.
Die Fig. zeigen:
Fig. 1 einen Datenträger mit integriertem Schalt¬ kreis,
Fig. 2 die erfindungsgemäße separate Schaltung in Form eines Netzwerkes mit entsprechender Steuerlogik,
Fig. 3 den Datenträger in Verbindung mit einem Gerät zur Echtheitsprüfung,
Fig. 4 ein Diagramm zum Ablauf der Echtheits- prüfung eines Datenträgers,
Fig. 5 ein weiteres Ausführungsbeispiel eines separaten Netzwerkes,
Fig. 6 einen Datenträger mit Einrichtungen zur internen .Prüfung, des elektriscshen Zustands einer separaten Schaltung des Schaltkreises.
Fig. 1 zeigt einen Datenträger 1, wie er z. B. im bar¬ geldlosen Zahlungsverkehr als Buchungskarte oder als Speicherkarte, wie z. B. als Telefonkarte, Anwendung findet. Der Datenträger weist einen auf einem IC-Modul 2 befindlichen integrierten Schaltkreis (IC) auf, der über die Kontaktflächen 3 mit externen Peripheriegeräten elektrisch verbunden werden kann. Nach neuerem Standard sind sechs Kontakte vorgesehen, wobei im allgemeinen einer der Kontakte nicht belegt ist. Dieser freie Anschluß des IC-Moduls, in den Fig. mit der Position 8 bezeichnet, wird als Meßanschluß zur externen Messung einer physikalischen Eigenschaft des integrierten Schaltkreises genutzt.
Fig. 2 zeigt das erfindungsgemäße separat auf dem inte- grierten Schaltkreis zwischen dem Anschluß 8 (Meßan¬ schluß) und dem Masseanschluß des Datenträgers reali¬ sierte Netzwerk 9, bestehend aus den Widerständen 13. Die Widerstände besitzen von links nach rechts binominal codierte Widerstandswerte, d. h. beginnend mit dem ersten Widerstand z. B. 100 Ohm, zweiter Widerstand 200 Ohm, dritter Widerstand 400 Ohm usw. , und sind in Reihe geschaltet. Jedem Widerstand der Widerstandsreihe ist jeweils eine Sicherung 12 und ein Schaltelement 11 parallel geschaltet. Die Schaltelemente können z. B. per Software von einer Steuerlogik 10 angesteuert werden, um die Sicherungen entsprechend der gewünschten Codierung durchzubrennen. Zum Durchbrennen der Sicherung wird ein hoher Strom, z. B. 500 mA, an den Kontakt 8 gegen Masse getrieben, wobei mit Hilfe der von der Steuerlogik gesteuerten Schaltelemente nur die Sicherung durchge¬ brannt wird, bei der der jeweilig dazu parallel geschal- . tete. Schalter. geö£.£net Ist... Durch Ans euerung.der. Schal¬ ter kann die gewünschte Codierung, d. h. ein eindeutig unterscheidbarer Gesamtwiderstandswert, für die Wider- Standsreihe erhalten werden. Bei der in Fig. 1 darge¬ stellten Schalterstellung ist z. B. nur der erste Schal¬ ter geöffnet und alle anderen sind geschlossen, wodurch sich ein Gesamtwiderstandswert von 100 Ohm für die zwi¬ schen dem Anschluß 8 und dem Masseanschluß anliegende Widerstandsreihe ergibt. Die binominale Codierung der Widerstandsreihe ermöglicht, daß die Kombination der durchgebrannten Sicherungen einen eindeutigen signifi- kanden Gesamtwiderstandswert für die Widerstandsreihe ergibt, der als fortlaufende Nummer digital darstellbar ist. Bei Kombination aller möglichen Varianten ergibt sich somit eine fortlaufende Nummer von i = 2n, wobei n der Anzahl der Widerstände entspricht. Selbstverständ¬ lich kann anstelle einer binominal codierten Wider¬ standsreihe auch eine andere geeignete Codierung gewählt werden. Auch muß der Gesamtwiderstand der Widerstands- reihe nicht für jeden integrierten Schaltkreis indivi¬ duell sein. Unter Umständen kann es ausreichend sein, diesen klassenspezifisch zu wählen, d. h. ein bestimmtes Fertigungslos von integrierten Schaltkreisen kann mit ein und demselben Gesamtwiderstand einer Widerstands- reihe codiert werden. Nach dem Codieren der Widerstands- reihe, welches im Testmodus, d. h. nachdem der Chip getestet und für gut befunden wurde, stattfindet, kann die Verbindungsleitung zwischen der Steuerlogik 10 und den Schaltelementen 11 durch Zünden einer nicht darge- stellten Sicherung unterbrochen werden, um zu verhin¬ dern, daß die Steuerlogik nachträglich von unbefugten Dritten im Testmodus betrieben werden kann. Somit ist die Steuerlogik nach dem Codierungsvorgang vom Netzwerk entkoppelt, womit die physikalische Eigenschaft des Netzwerkes irreversibel "eingebrannt" ist. Dies bietet einen hohen Schutz gegenüber Manipulationen seitens unbefugter Dritter.
Im folgenden wird die Personalisierung von Datenträgern mit dem erfindungsgemäßen Netzwerk beschrieben. Zuerst wird die physikalische Eigenschaft des Netzwerkes gemes¬ sen und der gemessene Analogwert wird anschließend in einen Digitalwert umgesetzt. Anschließend wird der digi¬ talisierte Meßwert mit Hilfe eines geheimen Schlüssels chiffriert. Dann erfolgt das Einschreiben der chiffrier¬ ten physikalischen Eigenschaft des Netzwerkes als Kenn- datenwert in die Speichereinheit des Datenträgers. Selbstverständlich können auch andere sensitive Persona¬ lisierungsdaten, wie z. B. PIN, Transaktionslimit, mit der gemessenen physikalischen Eigenschaft des Netzwerkes in dem Personalisierungsgerät logisch verknüpft werden, um das Ergebnis der logischen Verknüpfung in eine Spei¬ chereinheit des Datenträgers zu schreiben. Als logische Verknüpfung kann z. B. eine EX-OR-Verknüpfung gewählt werden, die von dem Personalisierungsgerät ausgeführt wird.
Fig. 3 zeigt in einem vereinfachten Blockschaltbild ein Gerät 18 zur Echtheitsprüfung eines Datenträgers l mit dem erfindungsgemäßen Netzwerk 9. Der Datenträger umfaßt neben dem Netzwerk 9 eine Logikeinheit 15, eine Spei¬ chereinheit 16 und ein optional vorsehbares Schalt- element 17, welches unter Steuerung der Logikeinheit das Netzwerk für eine vorgegebene Zeitdauer in den zwischen dem Meßkontakt 8 und dem Masseanschluß durch die Meß- einrichtung 19 des Gerätes gebildeten Meßpfad schaltet. Der Übersichtlichkeit wegen wird die Meßeinrichtung 19 als Block dargestellt, der bereits eine Spannungsver¬ sorgung z. B. von 10 V und einen Analog-Digital-Wandler 23 zur Umsetzung des analogen Meßwertsignales in einen digitalen Wert beinhaltet. Die digitalisierte gemessene physikalische Eigenschaft des Netzwerkes wird anschlie¬ ßend,von. dem...Chif£r±ermi.ttel.2.Q. unter Verwendung eines geheimen Schlüssels, der in dem Chiffriermittel gegen äußeren Zugriff gesichert gespeichert ist, ver- schlüsselt. Der von der Leseeinrichtung 22 des Gerätes aus der Speichereinheit 16 des Datenträgers ausgelesene Kenndatenwert wird mit dem vom Gerät verschlüsselten Meßergebnis mit Hilfe eines Komparators 21 verglichen. Die Speichereinheit 16 des Datenträgers kann beispiels- weise ein EEPROM sein, indem die physikalische Eigen¬ schaft des Netzwerkes in verschlüsselter Form abgespei- chert ist. Stimmt die von dem Gerät gemessene physikali¬ sche Eigenschaft des Netzwerkes mit dem von der Spei¬ chereinheit des Datenträgers ausgelesenen Kenndatenwert überein, so wird der Datenträger als echt erkannt.
Fig. 4 zeigt stark schematisiert den Ablauf zur Echt¬ heitsprüfung eines Datenträgers, der mit einem separaten auf dem integrierten Schaltkreis befindlichen Netzwerk versehen ist, dessen physikalische Eigenschaft meßbar ist. Ist der Datenträger mit dem Prüfgerät über die
Kontaktelemente verbunden, so wird in dem Verfahrens- schritt 30 vom Gerät zunächst geprüft, ob zwischen dem Masseanschluß und dem Meßanschluß 8 die physikalische Eigenschaft des Netzwerkes, z. B. in Form des Gesamt- widerstandswertes einer Widerstandsreihe, anliegt. Nur wenn das Gerät feststellt, daß der mit der Meßein¬ richtung gebildete Meßpfad aufgrund des geöffneten Schaltelementes i7 nicht geschlossen, d. h. hochohmig ist, wird von diesem im Verfahrensschritt 31 ein "Reset"-Signal zum Datenträger gesandt. Mit dem Empfang des "Reset"-Signals wird der Adreßzähler der Logikein¬ heit 15 in einen definierten Ausgangszustand gesetzt und das Schaltelement geschlossen. Verfahrensschritt 32 zeigt, daß das Schaltelement 17 von der Logikeinheit des Datenträgers per Software-Ansteuerung bis zum Zeitpunkt des "Answer to Reset" (ATR) des Datenträgers geschlossen ist und somit- die,physikalische. Eigenschaft, des Netzwer¬ kes innerhalb dieses Zeitfensters für eine Messung durch die Meßeinrichtung des Gerätes freigibt. Die Bestimmung der physikalischen Eigenschaft des Netzwerkes, d. h. des Gesamtwiderstandswertes der Widerstandsreihe und die anschließende Verschlüsselung unter Verwendung eines geheimen Schlüssels ist im Verfahrensschritt 33 darge¬ stellt. Im Verfahrensschritt 34 ist das Senden des in der Speichereinheit des Datenträgers enthaltenen Kenn¬ datenwertes als drittes Byte im ATR, der vom Datenträger zum Gerät geschickt wird, dargestellt. Verfahrensschritt 35 zeigt, wie der im dritten Byte des ATR empfangene Kenndatenwert mit der aus dem Verfahrensschritt 33 erhaltenen Meßgröße verglichen wird. Stimmen der von dem Datenträger empfangene Kenndatenwert mit der gemessenen digitalisierten und anschließend chiffrierten physikali¬ schen Eigenschaft des Netzwerkes überein, so wird der Datenträger als echt erkannt. Das Ergebnis der Echt¬ heitsprüfung kann, wenn dies gewünscht wird, auch auf einem Display des Gerätes angezeigt werden.
Fig. 5 zeigt ein weiteres Ausführungsbeispiel des erfin¬ dungsgemäßen, auf dem integrierten Schaltkreis separat vorhandenen Netzwerkes. Bei dieser Variante existiert für jede Sicherung und jeden Widerstand ein Testanschluß 14, auf den entsprechend der gewünschten Codierung ein hoher Strom, z. B. 500 mA, zum Durchbrennen der Siche¬ rung gegeben wird, so daß die Kombination der durch¬ gebrannten Sicherungen einen für die Widerstandsreihe charakteristischen Gesamtwiderstandswert ergibt. Wie bereits bei der ersten Ausfuhrungsform sind die Siche¬ rungen 12 zu den zwischen dem Meßanschluß 8 und dem Masseanschluß in Reihe geschalteten Widerständen 13 parallel geschaltet. Im Vergleich zur ersten Ausfüh- rungsform kann bei dieser Variante auf die Steuerlogik 10 und die Schalter 11 verzichtet werden. Nach dem der Chip getestet und.,das. Netzwerk,.entsprechend codiert worden ist, werden die Testanschlüsse 14 nach dem Codiervorgang abgeschaltet. Dies kann dadurch erfolgen, daß die Testanschlüsse einfach mechanisch abgetrennt werden. Da bereits nach der Produktion und während des Wafer-Tests die Testkontakte zur Verfügung stehen, kann das auf dem integrierten Schaltkreis separat vorgesehene Netzwerk in einfacher Weise, beispielsweise in Form einer Widerstandsreihe, realisiert werden. Die Fig. 6 zeigt in einer der Übersichtlichkeit wegen stark schematisierten Darstellung einen Datenträger 1 mit internen Einrichtungen 5 zur Überprüfung des elek¬ trischen Zustands einer Schaltung 24, die wenigstens eine Sicherung 4, z. B. zum Schutz sensitiver Bereiche des Datenträgers, aufweist. Nachdem der Chip getestet und für gut befunden wurde und nachdem z. B. die gewünschte Codierung des Echtheitsmerkmales des inte¬ grierten Schaltkreises erfolgte, wird die Sicherung 4 gezündet, wodurch sie von dem elektrisch leitenden in den elektrisch nichtleitenden Zustand gebracht wird. Selbstverständlich kann die Schaltung 24 auch noch weitere Elemente zur Steuerung des Zündvorgangs auf¬ weisen, die jedoch dem Fachmann geläufig sind und der Einfachheit halber hier nicht dargestellt werden. Zur Überprüfung des elektrischen Zustands der Sicherung 4 wird ein externes Signal, z. B. die VersorgungsSpannung oder das Taktsignal des integrierten Schaltkreises, über eine mit dem Eingang der Sicherung elektrisch leitend verbundene äußere Kontaktfläche 3 eingespeist und mit dem am Ausgang der Sicherung empfangenen Signal mittels eines ersten Ko parators 5 verglichen. Das Vergleichs- ergebnis des ersten Komparators wird als Kenndatenwert z. B. nach jedem Anlegen des externen Signals erneut in einen Speicher 16, z. b. RAM, geschrieben. Das im RAM befindliche Vergleichsergebnis kann im "Answer to Reset"-Signal (ATR) vom Datenträger zur Echtheits.- bestimmung an ein Kartenlesegerät übertragen werden. Der RAM-Zustand kann bei jedem Betrieb des Datenträgers mittels eines weiteren Komparators 5 mit einer Referenz-
Information verglichen werden. Die Referenzinformation stellt z. B. einen für den elektrisch leitenden Zustand der Sicherung 4 repräsentativen Wert dar und ist in einer gegen externen Zugriff geschützten nichtflüchtigen Speichereinheit 6 des Datenträgers gespeichert. Bei
Übereinstimmung mit der Referenzinformation, d. h. wenn nach dem Zündvorgang die Sicherung 4 einen nicht ord¬ nungsgemäßen elektrisch leitenden Zustand annimmt, wird von dem zweiten Komparator 5 ein entsprechendes Sperr- signal erzeugt, das genutzt werden kann, den Schaltkreis irreversibel zu blockieren. Dazu wird beispielsweise in einen bestimmten Bereich des gegen externen Zugriff geschützten nichtflüchtigen Speichers 6 des integrierten Schaltkreises eine die Sperre kennzeichnende Information eingeschrieben. Bei jeder Initialisierung des Daten- trägers wird dieser bestimmte Speicherbereich vom inte¬ grierten Schaltkreis abgefragt und bei Feststellung der Sperrinformation wird z. B. die Steuereinheit des inte¬ grierten Schaltkreises in den Haltezustand oder an den Programmanfang zurückgesezt. In diesem Fall ergeht eine Fehlermeldung, die jedoch keine Rückschlüsse zuläßt auf die Tatsache, daß die Sicherung 4 den nicht ordnungs¬ gemäßen, d. h. elektrisch leitenden Zustand aufweist. Die Fehlermeldung kann z. B. für einen außenstehenden Dritten nicht erkennbar in dem zwischen dem Datenträger und einem Gerät vereinbarten Datenaustauschprotokoll mit erfolgen, z. B. bei einer Buchungskarte im Echtheits- signal oder bei einer Speicherkarte in der Meldung "Ein¬ heiten verbraucht".

Claims

P a t e n t a n s p r ü c h e :
1. System zur Prüfung der Echtheit eines Datenträgers, umfassend
einen Datenträger (1) , der wenigstens einen inte¬ grierten Schaltkreis mit Speichereinheiten (6, 16) und Logikeinheiten (15) sowie Kommunikationselemente (3) aufweist,
eine Vorrichtung (18) , die über die Kommunikations- elemente (3) zumindest auf Teilbereiche der Speichereinheiten (6, 16) zum Lesen und/oder Schreiben Zugriff hat,
eine Einrichtung (5, 19) zur Bestimmung einer physi¬ kalischen Eigenschaft des integrierten Schalt¬ kreises, dadurch g e k e n n z e i c h n e t , daß
die physikalische Eigenschaft aus einem irreversibel einstellbaren elektrischen Zustand einer auf dem inte¬ grierten Schaltkreis separat vorhandenen Schaltung (9, 24) besteht und zur Erstellung eines Kenndatenwertes für den Datenträger (1) verwendet wird.
2. System nach Anspruch 1, dadurch g e k e n n ¬ z e i c h n e t , daß die Schaltung (9) wenigstens ein aus passiven Bauelementen bestehendes Netzwerk- umfaßt.
3. System nach Anspruch 2, dadurch g e k e n n ¬ z e i c h n e t , daß die gemessene physikalische Eigenschaft der Gesamtwiderstand einer binominal codierten Widerstandsreihe ist.
4. System nach Anspruch 1, dadurch g e k e n n - z e i c h n e t , daß die Einrichtung (19) zur Messung der physikalischen Eigenschaft Bestandteil der Vorrich¬ tung (18) ist, welche eine Chiffriereinrichtung (20) zum Verschlüsseln der gemessenen physikalischen Eigenschaft der Schaltung (9) aufweist, wobei das Ergebnis der Ver¬ schlüsselung in einer Speichereinrichtung (16) des Datenträgers (1) als Kenndatenwert abgespeichert ist.
5. System nach Anspruch 4, dadurch g e k e n n - z e i c h n e t , daß der Kenndatenwert als drittes Byte im Answer to Reset (ATR) vom Datenträger (1) zur Vorrichtung (18) übertragen wird.
6. System nach Anspruch 5, dadurch g e k e n n - z e i c h n e t , daß die Vorrichtung (18) einen
Komparator (21) zum Vergleich des empfangenen Kenndaten¬ wertes mit der von der Vorrichtung (18)gemessenen und verschlüsselten physikalischen Eigenschaft der Schaltung (9) aufweist, wobei der Vergleich bei jeder Inbetrieb- nähme des Datenträgers (1) erfolgt.
7. System nach Anspruch 1, dadurch g e k e n n ¬ z e i c h n e t , daß die physikalische Eigenschaft der Schaltung (9) nur zu einem bestimmten Zeitpunkt für eine vorbestimmte Dauer meßbar ist/
8. System nach. Anspruch- 7 .dadurch., g k. e.. n. . - z e i c h n e t , daß Zeitpunkt und Dauer system¬ spezifische Parameter sind, die von der Logikeinheit (15) des Datenträgers (1) in Abhängigkeit eines von der Vorrichtung (18) empfangenen Signals gesteuert werden und die Vorrichtung (18) verifiziert, ob diese Paramter vorgegebene Bedingungen erfüllen.
9. System nach Anspruch 8, dadurch g e k e n n ¬ z e i c h n e t , daß das von der Vorrichtung (18) an den Datenträger (1) gesendete Signal ein Resetsignal ist und die Logikeinrichtung (15) mittels eines Schalt- elementes (17) des Datenträgers die physikalische Eigen¬ schaft der Schaltung (9) mit dem Zeitpunkt des empfan- genen Resetsignals bis zu dem Zeitpunkt des vom Daten¬ träger zur Vorrichtung gesendeten Answer to reset (ATR) zur externen Messung freigibt.
10. System nach Anspruch 1, dadurch g e k e n n - z e i c h n e t , daß die Schaltung (24) wenigstens eine Sicherung (4) aufweist, die durch einen Zündvorgang irreversibel vom elektrisch leitenden in den elektrisch nicht leitenden Zustand gebracht wird, wodurch sensitive Breiche des Datenträgers (1) gegen externen Zugriff geschützt sind.
11. System nach Anspruch 10, dadurch g e k e n n ¬ z e i c h n e t , daß der Datenträger (1) Einrichtungen (5) zur Überprüfung der elektrischen Eigenschaft der Sicherung aufweist, wobei über ein mit dem Eingang der Sicherung (4) verbundenes Kommunikationselement (3) des integrierten Schaltkreises ein externes Signal einge¬ speist und dieses am Ausgang der Sicherung (4) mit dem eingespeisten Signal verglichen wird und das Vergleichs- ergebnis als Kenndatenwert in einen Speicherbereich (16) des Datenträgers geschrieben wird.
12. System nach Anspruch 11, dadurch g e k e n n ¬ z e i c h n e t , daß das externe Signal ein für den Betrieb des integrierten Schaltkreises zwingend not¬ wendiges Signal ist.
13. System nach Anspruch 11, dadurch g e k e n n ¬ z e i c h n e t , daß bei jeder Inbetriebnahme des Datenträgers (1) der Kenndatenwert im Answer to Reset
(ATR) des Datenträgers enthalten ist und zur Echtheits- prüfung an die Vorrichtung (18) übertragen wird.
14. System nach Anspruch 11, dadurch g e k e n n ¬ z e i c h n e t , daß der Kenndatenwert im integrierten Schaltkreis des Datenträgers (1) mit einer intern gespeicherten Referenzinformation verglichen wird und daß der Betrieb des integrierten Schaltkreises blockiert wird, wenn ein nicht ordnungsgemäßer elektri¬ scher Zustand der Sicherung (4) festgestellt worden ist.
15. System nach Anspruch 14, dadurch g e k e n n ¬ z e i c h n e t , daß bei Blockierung des Betriebs des integrierten Schaltkreises vom Datenträger (1) eine Fehlermeldung an die Vorrichtung (18) übertragen wird, die keine Rückschlüsse auf den elektrischen Zustand der Sicherung (4) zuläßt.
EP94903866A 1992-12-23 1993-12-22 System zur echtheitsprüfung eines datenträgers Expired - Lifetime EP0676073B2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE4243888A DE4243888A1 (de) 1992-12-23 1992-12-23 Datenträger und Verfahren zur Echtheitsprüfung eines Datenträgers
DE4243888 1992-12-23
PCT/EP1993/003668 WO1994015318A1 (de) 1992-12-23 1993-12-22 System zur echtheitsprüfung eines datenträgers

Publications (3)

Publication Number Publication Date
EP0676073A1 true EP0676073A1 (de) 1995-10-11
EP0676073B1 EP0676073B1 (de) 1996-11-13
EP0676073B2 EP0676073B2 (de) 2000-01-19

Family

ID=6476429

Family Applications (1)

Application Number Title Priority Date Filing Date
EP94903866A Expired - Lifetime EP0676073B2 (de) 1992-12-23 1993-12-22 System zur echtheitsprüfung eines datenträgers

Country Status (9)

Country Link
US (1) US5917909A (de)
EP (1) EP0676073B2 (de)
JP (1) JPH08507164A (de)
AT (1) ATE145294T1 (de)
DE (2) DE4243888A1 (de)
ES (1) ES2094046T5 (de)
HK (1) HK1007816A1 (de)
SG (1) SG50470A1 (de)
WO (1) WO1994015318A1 (de)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5644636A (en) * 1994-12-30 1997-07-01 Xtec, Incorporated Method and apparatus for securing data stored in semiconductor memory cells
FR2738971B1 (fr) * 1995-09-19 1997-10-10 Schlumberger Ind Sa Procede de determination d'une cle de cryptage associee a un circuit integre
FR2738970B1 (fr) * 1995-09-19 1997-10-10 Schlumberger Ind Sa Procede de determination d'une cle diversifiee associee a un circuit integre
FR2745932A1 (fr) * 1996-03-11 1997-09-12 Gemplus Card Int Ticket a contacts et lecteur associe
AUPO799197A0 (en) * 1997-07-15 1997-08-07 Silverbrook Research Pty Ltd Image processing method and apparatus (ART01)
AU7749998A (en) * 1997-06-11 1998-12-30 Nova-Technik Entwicklung Von Und Handel mit Medizinischen Ge raten GmbH Document with an authentication feature
DE19734507C2 (de) 1997-08-08 2000-04-27 Siemens Ag Verfahren zur Echtheitsprüfung eines Datenträgers
US7587044B2 (en) * 1998-01-02 2009-09-08 Cryptography Research, Inc. Differential power analysis method and apparatus
DE19822217B4 (de) * 1998-05-18 2018-01-25 Giesecke+Devrient Mobile Security Gmbh Zugriffsgeschützter Datenträger
ATE375577T1 (de) * 2000-01-11 2007-10-15 Infineon Technologies Ag Halbleiterchip mit eindeutiger identität und verfahren zur festlegung der eindeutigen identität eines halbleiterchips
US6799274B1 (en) * 2000-03-30 2004-09-28 Western Digital Ventures, Inc. Device comprising encryption circuitry enabled by comparing an operating spectral signature to an initial spectral signature
DE10018356B4 (de) * 2000-04-13 2005-05-04 Siemens Ag Verfahren zum Identifizieren eines elektronischen Steuergeräts und dafür geeignetes Steuergerät
FR2823398B1 (fr) * 2001-04-04 2003-08-15 St Microelectronics Sa Extraction d'une donnee privee pour authentification d'un circuit integre
FR2825873A1 (fr) * 2001-06-11 2002-12-13 St Microelectronics Sa Stockage protege d'une donnee dans un circuit integre
US7328339B1 (en) * 2003-11-03 2008-02-05 Advanced Micro Devices Inc Method of testing the encryption function of a device
DE102004032707B4 (de) 2004-07-06 2008-06-05 Infineon Technologies Ag Datenträger und Verfahren zum Testen eines Datenträgers
US8117452B2 (en) * 2004-11-03 2012-02-14 Cisco Technology, Inc. System and method for establishing a secure association between a dedicated appliance and a computing platform
US8423788B2 (en) * 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) * 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8321686B2 (en) * 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
WO2006086232A2 (en) * 2005-02-07 2006-08-17 Sandisk Corporation Secure memory card with life cycle phases
DE102005036303A1 (de) * 2005-04-29 2007-08-16 Giesecke & Devrient Gmbh Verfahren zur Initialisierung und/oder Personalisierung eines tragbaren Datenträgers
US7748031B2 (en) * 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
US8966284B2 (en) * 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
US7934049B2 (en) * 2005-09-14 2011-04-26 Sandisk Corporation Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory
GB0615392D0 (en) * 2006-08-03 2006-09-13 Wivenhoe Technology Ltd Pseudo random number circuitry
US20080052524A1 (en) * 2006-08-24 2008-02-28 Yoram Cedar Reader for one time password generating device
US20080072058A1 (en) * 2006-08-24 2008-03-20 Yoram Cedar Methods in a reader for one time password generating device
US8423794B2 (en) * 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
US8242831B2 (en) * 2009-12-31 2012-08-14 Intel Corporation Tamper resistant fuse design

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT1125188B (it) * 1976-12-14 1986-05-14 Selenia Ind Elettroniche Scheda di abilitazione e riscossione realizzata mediante circuito elettronico con elementi obliterabili per la distribuzione di beni o servizi e macchina operante sulla stessa
FR2401459A1 (fr) * 1977-08-26 1979-03-23 Cii Honeywell Bull Support d'information portatif muni d'un microprocesseur et d'une memoire morte programmable
IT1207227B (it) * 1979-08-09 1989-05-17 Ates Componenti Elettron Riproducibile. scheda elettronica a celle obliterabili con chiave di riconoscimento non riproducibile per apparecchi distributori di beni o servizi e metodo per la realizzazione di detta chiave non
FR2480539B1 (fr) * 1980-04-09 1985-09-13 Cii Honeywell Bull Procede et systeme de transmission de messages signes
JPS57167670A (en) * 1981-04-07 1982-10-15 Mitsubishi Electric Corp Semiconductor device
US4926480A (en) * 1983-08-22 1990-05-15 David Chaum Card-computer moderated systems
JPS60107852A (ja) * 1983-11-16 1985-06-13 Toshiba Corp 半導体集積回路
US4599489A (en) * 1984-02-22 1986-07-08 Gordian Systems, Inc. Solid state key for controlling access to computer software
US4575621A (en) * 1984-03-07 1986-03-11 Corpra Research, Inc. Portable electronic transaction device and system therefor
US4593384A (en) * 1984-12-21 1986-06-03 Ncr Corporation Security device for the secure storage of sensitive data
JP2701836B2 (ja) * 1985-03-14 1998-01-21 オムロン株式会社 回路折抗値調整方法
DE3526061A1 (de) * 1985-07-20 1987-01-22 Dhs Ges Fuer Elektromechanisch Datenerfassungsgeraet
JPH0752261B2 (ja) * 1985-09-24 1995-06-05 株式会社日立マイコンシステム 半導体集積回路装置
GB2182176B (en) * 1985-09-25 1989-09-20 Ncr Co Data security device for protecting stored data
JPS62137692A (ja) * 1985-12-11 1987-06-20 Hitachi Ltd 個人識別カ−ド
JPS62221053A (ja) * 1986-03-20 1987-09-29 Fujitsu Ltd Icカ−ドシステム
JPS62251963A (ja) * 1986-04-25 1987-11-02 Casio Comput Co Ltd Icカ−ドの認証方式
EP0281057B1 (de) * 1987-03-04 1994-05-11 Siemens Nixdorf Informationssysteme Aktiengesellschaft Schaltungsanordnung zur Sicherung des Zugangs zu einem Datenverarbeitungssystem mit Hilfe einer Chipkarte
GB2206431B (en) * 1987-06-30 1991-05-29 Motorola Inc Data card circuits
CH673605A5 (de) * 1987-10-01 1990-03-30 Schlatter Ag
DE3736882C2 (de) * 1987-10-30 1997-04-30 Gao Ges Automation Org Verfahren zur Echtheitsprüfung eines Datenträgers mit integriertem Schaltkreis
FR2633420B1 (fr) * 1988-06-28 1992-02-21 Schlumberger Ind Sa Support d'informations et systeme de gestion de tels supports
US5239664A (en) * 1988-12-20 1993-08-24 Bull S.A. Arrangement for protecting an electronic card and its use for protecting a terminal for reading magnetic and/or microprocessor cards
US5123045A (en) * 1989-08-18 1992-06-16 Massachusetts Institute Of Technology Comprehensive software protection system
JP2524321Y2 (ja) * 1990-08-09 1997-01-29 日本信号株式会社 Icカード
US5146172A (en) * 1990-08-15 1992-09-08 Sundstrand Corp. Engine identification system
JP2877547B2 (ja) * 1991-04-12 1999-03-31 株式会社東芝 携帯可能記憶媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO9415318A1 *

Also Published As

Publication number Publication date
ATE145294T1 (de) 1996-11-15
US5917909A (en) 1999-06-29
EP0676073B2 (de) 2000-01-19
SG50470A1 (en) 1998-07-20
DE4243888A1 (de) 1994-06-30
EP0676073B1 (de) 1996-11-13
ES2094046T5 (es) 2000-06-01
DE59304496D1 (de) 1996-12-19
WO1994015318A1 (de) 1994-07-07
HK1007816A1 (en) 1999-04-23
ES2094046T3 (es) 1997-01-01
JPH08507164A (ja) 1996-07-30

Similar Documents

Publication Publication Date Title
EP0676073B1 (de) System zur echtheitsprüfung eines datenträgers
EP0313967B1 (de) Verfahren zur Echtheitsprüfung eines Datenträgers mit integriertem Schaltkreis
EP0281057B1 (de) Schaltungsanordnung zur Sicherung des Zugangs zu einem Datenverarbeitungssystem mit Hilfe einer Chipkarte
DE3818960C2 (de)
DE2738113C2 (de) Vorrichtung zur Durchführung von Bearbeitungsvorgängen mit einem Identifikanden
EP0281058B1 (de) Datenaustauschsystem
DE19708616C2 (de) Elektronische Datenverarbeitungseinrichtung und -system
DE3041109A1 (de) Identifikationselement
EP1188151B1 (de) Einrichtungen und verfahren zur biometrischen authentisierung
DE3318101A1 (de) Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit
EP0400441B1 (de) Verfahren zur Prüfung eines mit Chipkarten kommunizierenden Terminals
EP0712520B1 (de) Verfahren zur echtheitsprüfung eines datenträgers
EP0570924A2 (de) Verfahren zur Authentifizierung eines Systemteiles durch einen anderen Systemteil in einem Informationsübertragungssystem bestehend aus einem Terminal und einer tragbaren Datenträgeranordnung
EP0956541A1 (de) Vorrichtung und verfahren zur verarbeitung von biometrischen daten
DE102007041370B4 (de) Chipkarte, elektronisches Gerät, Verfahren zur Herstellung einer Chipkarte und Verfahren zur Inbenutzungnahme einer Chipkarte
DE4405570C2 (de) Elektronisches Chipkarten-Zutrittskontrollsystem für verbreitete Standardchipkarten mit elektronischer Signatur
DE60223703T2 (de) Authentisierungsprotokoll mit speicherintegritaetsverifikation
EP2093720A2 (de) Terminal für Chipkarten
EP0203543B1 (de) Verfahren und Anordnung zum Überprüfen von Chipkarten
DE19818998B4 (de) Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlüssel einer Chipkarte
EP0353530B1 (de) Verfahren zum Unterscheidbarmachen von elektronischen Schaltungen mit nichtflüchtigem Speicher
DE69827771T2 (de) Verfahren zur echtheitsüberprüfung einer elektrischen schaltungsanordnung
DE19850308B4 (de) Verfahren zum Schutz von Chipkarten vor missbräuchlicher Verwendung in Fremdgeräten
EP0607950B1 (de) Verfahren und Datenträgeranordnung zur Echtheitserkennung von Speicherchips
EP0818760B1 (de) Verfahren zur Verhinderung des Missbrauchs von Modulen

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 19950620

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LI LU MC NL PT SE

GRAG Despatch of communication of intention to grant

Free format text: ORIGINAL CODE: EPIDOS AGRA

17Q First examination report despatched

Effective date: 19960112

GRAH Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOS IGRA

GRAH Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOS IGRA

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LI LU MC NL PT SE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 19961113

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 19961113

Ref country code: DK

Effective date: 19961113

REF Corresponds to:

Ref document number: 145294

Country of ref document: AT

Date of ref document: 19961115

Kind code of ref document: T

REF Corresponds to:

Ref document number: 59304496

Country of ref document: DE

Date of ref document: 19961219

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: 70652

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 19961231

Ref country code: BE

Effective date: 19961231

REG Reference to a national code

Ref country code: ES

Ref legal event code: FG2A

Ref document number: 2094046

Country of ref document: ES

Kind code of ref document: T3

GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

Effective date: 19961202

ITF It: translation for a ep patent filed

Owner name: STUDIO ING. ALFREDO RAIMONDI

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: PT

Effective date: 19970213

ET Fr: translation filed
NLV1 Nl: lapsed or annulled due to failure to fulfill the requirements of art. 29p and 29m of the patents act
PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 19970627

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Effective date: 19970630

REG Reference to a national code

Ref country code: IE

Ref legal event code: FD4D

Ref document number: 70652

Country of ref document: IE

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

PLBQ Unpublished change to opponent data

Free format text: ORIGINAL CODE: EPIDOS OPPO

PLBI Opposition filed

Free format text: ORIGINAL CODE: 0009260

PLBF Reply of patent proprietor to notice(s) of opposition

Free format text: ORIGINAL CODE: EPIDOS OBSO

26 Opposition filed

Opponent name: PHILIPS PATENTVERWALTUNG GMBH

Effective date: 19970809

REG Reference to a national code

Ref country code: CH

Ref legal event code: AEN

Free format text: DAS PATENT IST AUFGRUND DES WEITERBEHANDLUNGSANTRAG VOM 26.09.1997 REAKTIVIERT WORDEN.

PLBF Reply of patent proprietor to notice(s) of opposition

Free format text: ORIGINAL CODE: EPIDOS OBSO

PLAW Interlocutory decision in opposition

Free format text: ORIGINAL CODE: EPIDOS IDOP

PLAW Interlocutory decision in opposition

Free format text: ORIGINAL CODE: EPIDOS IDOP

PUAH Patent maintained in amended form

Free format text: ORIGINAL CODE: 0009272

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: PATENT MAINTAINED AS AMENDED

27A Patent maintained in amended form

Effective date: 20000119

AK Designated contracting states

Kind code of ref document: B2

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LI LU MC NL PT SE

REG Reference to a national code

Ref country code: CH

Ref legal event code: AEN

Free format text: AUFRECHTERHALTUNG DES PATENTES IN GEAENDERTER FORM

GBTA Gb: translation of amended ep patent filed (gb section 77(6)(b)/1977)

Effective date: 20000209

ITF It: translation for a ep patent filed

Owner name: STUDIO ING. ALFREDO RAIMONDI

ET3 Fr: translation filed ** decision concerning opposition
REG Reference to a national code

Ref country code: ES

Ref legal event code: DC2A

Kind code of ref document: T5

Effective date: 20000413

REG Reference to a national code

Ref country code: GB

Ref legal event code: IF02

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20041207

Year of fee payment: 12

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: AT

Payment date: 20041227

Year of fee payment: 12

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: SE

Payment date: 20041228

Year of fee payment: 12

Ref country code: ES

Payment date: 20041228

Year of fee payment: 12

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20041229

Year of fee payment: 12

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES;WARNING: LAPSES OF ITALIAN PATENTS WITH EFFECTIVE DATE BEFORE 2007 MAY HAVE OCCURRED AT ANY TIME BEFORE 2007. THE CORRECT EFFECTIVE DATE MAY BE DIFFERENT FROM THE ONE RECORDED.

Effective date: 20051222

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20051222

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20051222

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20051223

Ref country code: ES

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20051223

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20051231

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20051231

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

EUG Se: european patent has lapsed
GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20051222

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20061215

Year of fee payment: 14

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20070221

Year of fee payment: 14

REG Reference to a national code

Ref country code: ES

Ref legal event code: FD2A

Effective date: 20051223

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20080701

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20081020

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20071231